Ransomware Locky Spam

Mediante una campaña de correos electrónicos spam que está siendo distribuida a nivel mundial, Locky, el famoso ransomware que se consideró el más grande que se haya distribuido, ha regresado.

A pesar de que aún es muy pronto para determinar si esta aparición es un intento de introducir el ransomware a gran escala, hasta ahora se conoce que la campaña tiene gran fuerza. La nueva variante de Locky lleva por nombre Locky Diablo6, ha sido descubierta por el experto en seguridad informática cuyo apodo es ‘Racco42’, e incorpora la extensión .diablo6.

El método del ataque, como hemos mencionado, se desarrolla a través de correos electrónicos que incluyen un archivo adjunto, cuyo contenido radica en Locky, y que puede llegar a encriptar tu sistema bajo la denominación .diablo.6. Además, el correo se presenta con un mensaje en el asunto que dice: “Archivos adjuntos, gracias”.

En los correos se incluye un archivo ZIP que emplea el mismo mensaje del asunto, y que incluye una secuencia de comandos de VBS para descargar. El script contiene uno o varios enlaces que descargarán el archivo ejecutable de Locky en la carpeta ‘Temp’ y posteriormente lo ejecutarán.

Nota del Locky Ransomware. Imagen facilitada por BleepingComputer.

Cuando el archivo se ha descargado y ejecutado, su mecanismo de acción se desarrolla cifrando los archivos de tu ordenador. En este sentido, Locky modificará el nombre del archivo y añadirá la extensión .diablo6, utilizando los siguientes formatos:

  • [first_8_hexadecimal_chars_of_id]
  • [next_4_hexadecimal_chars_of_id]
  • [next_4_hexadecimal_chars_of_id]
  • [4_hexadecimal_chars]
  • [12_hexadecimal_chars] .zepto

Esto se traduce en que, si por ejemplo, tienes un archivo llamado ‘familia.jpg’, luego de ser cifrado, su nombre puede ser ‘E87091F1-D24A-922B-00F6B112-72BB7EA6EADF.diablo6’. Luego de que el ransomware haya culminado el cifrado en el ordenador, elimina el archivo ejecutable descargado y mostrará un mensaje de rescate que indica al usuario cómo pagar a los atacantes. El mensaje ha cambiado con respecto a la versión anterior de Locky y se muestra bajo el formato diablo6- [random] .htm.

Con respecto del rescate, el monto solicitado por los atacantes es de US$ 1600. Lamentablemente, por el momento no es posible descifrar gratuitamente los archivos bajo la extensión .diablo6 cifrados por Locky. La única forma de recuperar tales archivos es mediante una copia de seguridad.